会话初始化协议SIP(Session Initiation Protocol)是一种基于IP网络的多媒体通信信令控制协议,是下一代通信网络的核心协议之一。目前用于保证SIP通信安全的机制大部分都是从Internet现有的安全协议中引进来的,但是它们都存在缺陷和局限:TLS不能支持UDP通信;IPSec VPN只能支持端到网络边缘的安全,缺少角色访问控制机制,并且使用的是传统的静态加密方法;SIPS URI方案也受到TLS的限制;HTTP摘要鉴别只支持单向的身份验证;S/MIME缺少PK(IPublic Key Infrastructure,公钥基础设施)的支持。动态加密方法针对上述问题而设计,通过四个方面的改进增强了身份认证和消息的完整性、机密性,并被融入到安全SIP通信的客户端与服务器的具体设计中。首先,安全分级协商机制提供可选择的、可协商的安全服务:安全级别是根据几种安全技术的不同集合来区分的,并且是通信参与者根据其不同信任度和不同选择来共同协商而定的。其次,基于角色证书的改进PKI技术通过与粗粒度的RBAC相结合,保证了更高层次的身份认证;同时SCEP、LDAP、OCSP的实现完成了对角色证书的动态管理。然后,在会话通信过程中加入了AES密钥的实时更新策略,这种更新是基于通信回合的,并且与上次密钥、硬件特征、明文都相关的;同时用实时窗口策略保证了通信双方更新的同步。最后,一些随机数字节被插入到密文中,完成了动态混杂处理;插入的位置是根据密文、密钥的特征计算出来的。对改进PKI技术的测试表明对角色证书的动态管理是成功并有效的;并通过对动态加密方法和IPSec VPN两种安全机制加密性能的对比证明了SIP通信中的动态加密方法是高效的、可行的。